Llegamos a ustedes gracias a:



Reportajes y análisis

IoC: Inteligencia vs. Seguridad

Los dispositivos inteligentes, se vuelven cada vez más inteligentes, pero todavía carecen de seguridad

[24/12/2013] Cuando compra esa nueva refrigeradora inteligente que puede hacer de todo, incluyendo averiguar si le falta leche o no, quizás también deba pensar en el riesgo de que algún hacker travieso y malo tome control de ella, pida más de cinco mil galones y se los entreguen en la puerta.
Improbable, sí, pero posible; y ese es justamente el inconveniente. ¿Qué pasaría con un hacker que abra sus puertas mientras usted no esté en casa?
Esta situación o escenario es real y ha sido demostrado. Los expertos en seguridad han venido diciendo, por más de una década, que en el mundo de los dispositivos electrónicos, smart o inteligente no significa seguro. Asimismo, han advertido que si la seguridad no se vuelve una prioridad, la comodidad proporcionada por estos dispositivos se verá afectada por los ciber criminales.
Muchos de los expertos en seguridad señalan que las cosas se han puesto peor desde que comenzaron esas advertencias, en parte debido al crecimiento explosivo de los dispositivos de consumo con computadoras integradas. 
En una entrevista con PaulDotCom Security Weekly TV el pasado febrero, Craig Heffner, investigador de la vulnerabilidad con Tactical Network Solutions, lo dijo seco y sin rodeos. Regresemos 15 años en lo que respecta a la seguridad de computadoras, traiga todos eso problemas que teníamos hace 15 años al presente y los encontrará en los sistemas integrados, comentó.
Eso haría que crecer por órdenes de magnitud sea un problema. En una conferencia el mes pasado, en the Internet of Things (IoT), patrocinada por la Federal Trade Comission (FTC), Edith Ramírez, presidenta de la agencia, dijo que se espera que los 3,5 mil millones de sensores en la red crezcan a trillones durante los próximos diez años. De hecho, muchos de los nuevos carros tienen más de 100 computadoras conectadas e incorporadas.
Hace cinco años, más cosas que personas se conectaban a Internet, señaló Ramírez. Para el 2020, 90% de todos los carros tendrán algún tipo de plataforma de vehículos, frente al 10% actual. Para el 2015, habrá 25 mil millones de cosas conectadas y enganchadas a Internet y para el 2020, esta cifra crecerá a 50 mil millones. En el mercado de los consumidores, los dispositivos smart o inteligentes, le harán un seguimiento a nuestra salud, nos ayudarán a monitorear a un familiar anciano, reducir nuestros gastos y facturas de servicios públicos y nos dirán también, si se nos ha acabado la leche.
Pero todo eso, dijo, vendrá con riesgos innegables en la seguridad. En respuesta, dijo que la postura de FTC es que, las compañías necesitan agregarle y construir seguridad en sus productos, sin excepciones.
Tal vez algún día, pero para la mayoría de expertos es todo lo contrario -la excepción es un producto inteligente que tenga la seguridad como un componente clave. Heffner, quien apareció en un comité discutiendo sobre la casa conectada en la conferencia de FTC, sostuvo que, los dispositivos de los consumidores, por lo general, no tienen seguridad, por lo menos no para los estándares de hoy en día.
En una entrevista, Heffner señaló que la mayor razón por la que esto ocurre es porque, la gente no toma las decisiones de compra en base a la seguridad del producto, lo hacen basándose en sus características, en cómo se ve y en el precio. ¿Por qué una empresa gastaría tiempo y dinero en algo que a los usuarios no les interesa y no ven?.
Ese ha sido el mantra de Bruce Schneier, el gurú de la seguridad y director de tecnología de la seguridad en BT, por algún tiempo. En una publicación en un blog el pasado agosto, dijo que todo, desde los dispositivos destinados a los consumidores hasta los sistemas de control industriales y masivos, han podido ser pirateados siempre.
¿Por qué? Schneier le echa la cumpla tanto a los consumidores como a los desarrolladores, pero más a los desarrolladores. Es muy difícil de desarrollar la seguridad bien y como se debe, escribió. Se necesita experiencia y se necesita tiempo. A muchas compañías no les interesa porque la mayoría de clientes no saben nada sobre los sistemas de seguridad.
Tal vez, al menos hasta ahora, no se les ha dado razón suficiente para que comiencen a preocuparse de ese tema. Aunque ha habido demostraciones impresionantes e inquietantes de la facilidad con la que un hacker con experiencia puede tomar el control de los sistemas automatizados de la casa, incluyendo la calefacción, el aire acondicionado y los candados de las puertas; hasta ahora los consumidores, a pesar de estar informados sobre todos los riesgos, no han entrado en pánico.
No debe esperarse que los consumidores sepan tanto como para comenzar a tomarle importancia, señala Schneier. Muchos de los hacks suceden porque los usuarios no configuran o instalan sus dispositivos como se debería, pero realmente esa es la culpa del fabricante, escribió. Se supone que estos son dispositivos destinados al consumidor, no equipo especializado para los expertos en seguridad.
La respuesta habitual de los fabricantes de dispositivos inteligentes ha sido y sigue siendo que hacer sus productos lo más seguros posible, haría que sean mucho más difíciles de usar y los consumidores simplemente no los entenderían -dicen que la seguridad debilitaría la comodidad.
Aaron Cohen, fundador de The Hacker Academy, ve algo de mérito en ambos argumentos. Aunque toda su vida ha abogado por construir seguridad en los productos, dice que debe de haber un balance entre la seguridad y la comodidad.
La mayoría de la gente pone la funcionalidad por delante de la seguridad, señala. Si hace su televisor tan seguro que ni siquiera se puede prender y apagar, nadie los va a comprar. Si desenchufa las computadoras de todo el mundo, las va a hacer mucho más seguras, pero la gente no podrá trabajar.
Cohen aboga por la Secure Software Development Life Cycle (S-SDLC), usando métodos del Open Web Application Security Project (OWASP), que según él aborda los riesgos de las metas y objetivos fáciles de conseguir y que no requieren mucho esfuerzo; y dijo que la industria debería establecer prioridades más enfocadas en asegurar los dispositivos que bloquean o desbloquean una casa, que en esos que prenden la calefacción o la televisión.
Dijo que gran parte del análisis de riesgos se puede enfocar en los incentivos financieros. Mientras que los hackers obtengan beneficios monetarios interviniendo su televisión, lo van a seguir haciendo; pero, ¿es esa la mejor opción de ganar plata?, señaló.
Jeff Hagins, CTO y fundador de Smart Things, que también estuvo en el comité en el taller del FTC, es uno de los muchos que dicen que la seguridad versus la comodidad es una dicotomía falsa. Hagins señaló a CSO, que él piensa que más que comodidad, son los costos los cuales supera a la seguridad, pero que ambos pueden y deberían ser una prioridad.
Un gran diseño de la experiencia del usuario es difícil, y sí, la integración de la seguridad en un gran diseño también es difícil, agregó. Los consumidores van a comprar los productos que les brinden la mejor experiencia y las características que necesitan por el precio que pueden pagar. Mantener este balance no es fácil, pero las compañías que tienen éxito con este acto de equilibrio y además hacen de las características de seguridad una prioridad, pueden ganar.
Sin embargo, hay algunas buenas noticias entre las predicciones sombrías. Según Gary McGraw, CTO de Cigital y defensor por mucho tiempo de construir seguridad en. McGraw señaló que el FTC, bajo el anterior CTO, Edward Felten y el actual, Steven Bellovin, ha sido muy activo en lo que respecta a la seguridad y a la seguridad del software. Esos tipos son expertos nivel gurú.
McGraw señaló que aunque las mejoras en la seguridad de los dispositivos inteligentes no va a pasar de un día al otro, hay un progreso en áreas importantes, como la seguridad móvil. Como Cohen, McGraw considera que el progreso en electrodomésticos como refrigeradores, puede venir después. Hay que hacerse cargo de las cosas más importantes primero, anotó.
Hay opiniones encontradas acerca de si eso está sucediendo o no. Ramírez, del FTC, afirmó en la reciente conferencia que, las compañías que no le prestan atención a sus prácticas de seguridad pueden darse cuenta que el FTC lo hará. Citó un reciente acuerdo alcanzado entre la agencia y TRENDnet, después de que un hacker fuera capaz de irrumpir las transmisiones en vivo de 700 de las cámaras de seguridad de la compañía y hacer que estén disponibles en Internet.
Pero no hubieron sanciones financieras reportadas en ese acuerdo -solo que TRENDnet está impedido de tergiversar y declarar que su software es seguro, que debe abordar los riesgos de seguridad, ayudar a los clientes a arreglar su software y obtener un acuerdo independiente de sus programas de seguridad anuales por 20 años.
Schneier y Heffner dijeron que no han visto ningún progreso en la mejora de la seguridad. El mercado todavía no está ahí, señaló Schneier en una entrevista.
Heffner agregó que está muy alentado por las últimas acciones y el nivel de involucramiento des FTC, y creo que es un buen paso en la dirección correcta. Sin embargo, no puedo decir que he visto cambios radicales en la seguridad de los sistemas integrados.
También hay una variedad de puntos de vista sobre lo que puede y debe hacerse. Hagins de SmartThings señaló que cree que antes de aumentar la regulación de la FTC, nosotros como industria tenemos la necesidad de tomar una grieta de la auto regulación con un programa de certificación que es similar al PCI-DSS (el programa de certificación para la seguridad de transacciones con tarjetas de crédito y mediante el comercio electrónico).
Heffner está dudoso acerca de la efectividad de esta iniciativa. La Internet de las cosas ha estado presente por mucho tiempo -solo que sin ese nombre tan tonto- y los desarrolladores tuvieron años para regularse a sí mismos, agregó. Creo que está bastante claro que ha fallado. ¿Qué es lo que está pasando actualmente para motivarlos de la nada a comenzar a regularse a sí mismos?.
Heffner agregó que el cumplimiento de PCI tampoco garantiza seguridad. Solo por el hecho de que haya revisado todo no significa que no puedes ser hackeado, añadió.
Hagins y Schneier dicen que si la seguridad va a mejorar en dispositivos integrados, tendrá que haber una manera de hacer actualizaciones o parches para corregir las vulnerabilidades. La capacidad de actualizar el software, incluso el firmware integrado o embebido, es fundamental para la capacidad de hacer frente a las vulnerabilidades no detectadas, agregó Hagins.
El gran problema es que no hay manera de parcharlos, señaló Schneier, y a medida que estas cosas proliferan, los hackers están viendo que el mejor punto blanco no es la computadora sino el router (la forma en la que la mayoría de los dispositivos que están dentro de una casa se conectan a internet).
Finalmente, a pesar de que no se puede esperar que el consumidor entienda la seguridad del software, los expertos esperan que la presión de los consumidores sea lo que cambie el paradigma de la seguridad.
Los consumidores piensas que todo es seguro, a pesar de que nadie se los haya dicho, señaló McGraw. "Eso significa que hay una gran discrepancia entre las expectativas implícitas de seguridad y la situación real. Justo ahora, están demasiado emocionados con todo lo que se puede hacer con los televisores smart o inteligentes, pero cuando sus expectativas se caen hasta el piso, los consumidores se molestan; y entonces, las compañías tendrán una razón para responder.
Una vez que los consumidores entienden los riesgos de los productos inseguros, van a pensarlo mucho mejor cuando de comprar, recomendar y usar dispositivos se trate, agregó Hagins.
Pero esa conciencia o conocimiento puede costar muy caro. A Schneier se le preguntó si piensa si sería necesario que ocurra una hackeada catastrófica de los dispositivos inteligentes de los consumidores para hacer que se den cuenta y forzar al mercado a que aborde el tema de la seguridad de todos estos productos. Él respondió: Por desgracia, creo que sí.
Taylor Armerding, CSO (EE.UU.)